对象存储 sts，对象存储oss教程详解过程

***：本内容详细讲解对象存储sts与oss教程。可能涵盖了对象存储的概念，oss的功能特点、使用场景等基础内容。重点在于sts相关，或许阐述了sts的原理、与oss结合使用的方式、安全机制以及配置流程等，旨在帮助使用者深入理解对象存储sts及oss，按照教程逐步操作，能够有效地利用二者进行数据存储、管理、安全访问控制等相关操作。

本文目录导读：

1. 对象存储OSS简介
2. 使用STS访问OSS的详细步骤
3. STS的权限管理与安全注意事项

《对象存储OSS教程：深入理解与使用STS服务》

对象存储OSS简介

对象存储OSS（Object Storage Service）是一种海量、安全、低成本、高可靠的云存储服务，它可以让用户轻松存储和管理任意类型的数据，如图片、视频、文档等，OSS提供了简单易用的API接口，方便开发者将存储功能集成到各种应用程序中。

二、安全令牌服务STS（Security Token Service）概述

1、STS的作用

- STS是为了提供临时的安全访问凭证，在很多场景下，我们不希望直接使用主账号的长期密钥来访问OSS资源，在移动应用中，将主账号密钥暴露在客户端是非常不安全的，STS可以为客户端生成临时的访问凭证，包括临时的AccessKeyId、AccessKeySecret和SecurityToken，这些临时凭证具有有限的权限和有效期，降低了安全风险。

2、STS的工作原理

- STS服务基于角色（Role）的概念来工作，需要在阿里云的RAM（Resource Access Management）控制台创建角色，这个角色定义了可以访问哪些OSS资源（特定的Bucket或者Bucket中的某些对象）以及具有什么样的操作权限（如读、写、删除等），当客户端请求STS服务时，STS服务会根据请求的参数和预先定义的角色，生成临时的访问凭证。

使用STS访问OSS的详细步骤

（一）创建RAM角色

1、登录阿里云RAM控制台。

2、点击“创建角色”，选择“可信实体类型”为“阿里云账号”（如果是跨账号访问，选择对应的可信实体类型）。

3、在“权限配置”步骤，选择合适的权限策略，如果是访问OSS，可以选择预设的OSS相关策略，如“AliyunOSSReadOnlyAccess”（只读访问）或者自定义策略，自定义策略可以精确控制对OSS资源的访问权限，

```json

{

"Version": "1.0",

"Statement": [

{

"Effect": "Allow",

"Action": [

"oss:GetObject",

"oss:ListObjects"

],

"Resource": [

"acs:oss:*:*:my - bucket - name/*"

]

}

]

}

```

这里定义了允许对名为“my - bucket - name”的Bucket中的对象进行读取（GetObject）和列出对象（ListObjects）操作。

4、完成角色创建后，记录下角色的ARN（Amazon Resource Name），这在后续请求STS服务时会用到。

（二）请求STS服务获取临时凭证

1、使用SDK

- 以Java SDK为例，首先需要引入相关的依赖包，如aliyun - sts - java - sdk。

- 以下是一个简单的代码示例：

```java

import com.aliyuncs.DefaultAcsClient;

import com.aliyuncs.exceptions.ClientException;

import com.aliyuncs.profile.DefaultProfile;

import com.aliyuncs.sts.model.v20150401.AssumeRoleRequest;

import com.aliyuncs.sts.model.v20150401.AssumeRoleResponse;

public class StsClientExample {

public static void main(String[] args) {

// 配置STS服务的地域信息

DefaultProfile profile = DefaultProfile.getProfile("cn - hangzhou", "<your - access - key - id>", "<your - access - key - secret>");

try {

DefaultAcsClient client = new DefaultAcsClient(profile);

// 创建AssumeRoleRequest请求对象

AssumeRoleRequest request = new AssumeRoleRequest();

// 设置角色的ARN

request.setRoleArn("<role - arn - you - created>");

// 设置角色会话名称，可自定义

request.setRoleSessionName("my - session - name");

// 发送请求获取临时凭证

AssumeRoleResponse response = client. assumeRole(request);

System.out.println("临时AccessKeyId: " + response.getCredentials().getAccessKeyId());

System.out.println("临时AccessKeySecret: " + response.getCredentials().getAccessKeySecret());

System.out.println("SecurityToken: " + response.getCredentials().getSecurityToken());

} catch (ClientException e) {

e.printStackTrace();

}

}

}

```

在这个示例中，首先配置了阿里云的访问密钥（这是用于访问STS服务的长期密钥，应该妥善保管），然后创建了一个请求对象，设置了角色的ARN和角色会话名称，最后发送请求获取临时凭证。

2、使用API网关（可选）

- 如果希望通过API网关来请求STS服务，可以先在API网关控制台创建API。

- 定义API的请求方法（如POST）、请求路径和后端服务类型为STS服务。

- 配置请求参数的映射，确保能够正确传递角色的ARN等必要信息到STS服务。

- 在客户端，可以使用HTTP客户端库（如OkHttp in Android）来调用API网关的API，从而间接获取STS临时凭证。

（三）使用临时凭证访问OSS

1、以Java访问OSS为例

- 引入OSS的Java SDK依赖包。

- 使用获取到的临时凭证创建OSSClient对象：

```java

import com.aliyun.oss.OSS;

import com.aliyun.oss.OSSClientBuilder;

public class OssStsAccessExample {

public static void main(String[] args) {

String endpoint = "your - oss - endpoint";

String accessKeyId = "<temporary - access - key - id>";

String accessKeySecret = "<temporary - access - key - secret>";

String securityToken = "<security - token>";

// 创建OSSClient对象

OSS ossClient = new OSSClientBuilder().build(endpoint, accessKeyId, accessKeySecret, securityToken);

try {

// 列出Bucket中的对象

ossClient.listObjects("<your - bucket - name>");

} catch (Exception e) {

e.printStackTrace();

} finally {

// 关闭OSSClient

ossClient.shutdown();

}

}

}

```

在这个示例中，使用临时的AccessKeyId、AccessKeySecret和SecurityToken创建了OSSClient对象，然后可以进行OSS资源的操作，如列出Bucket中的对象。

STS的权限管理与安全注意事项

1、权限管理

- 当创建角色并定义权限策略时，要遵循最小权限原则，只授予客户端实际需要的操作权限，如果客户端只需要读取OSS中的某些图片，就不要授予写或删除权限。

- 定期审查角色的权限策略，确保随着业务需求的变化，权限仍然是合理和安全的。

2、安全注意事项

- 临时凭证的有效期要合理设置，如果有效期过长，会增加安全风险；如果有效期过短，可能会导致客户端操作中断，一般根据业务场景设置为几分钟到几小时不等。

- 对于获取和使用临时凭证的过程，要进行安全审计，在日志中记录STS请求的来源IP、请求时间等信息，以便在发生安全事件时进行追溯。

通过以上步骤，我们可以在保证安全的前提下，利用对象存储OSS的STS服务，灵活地为不同的客户端或应用场景提供临时的、有限权限的OSS资源访问能力。